- 締切済み
pcap形式データをテキストへ抽出
pcap形式のデータ(tcpdump)から、必要とするデータ部位(BtyeSize等)を取り出し テキストに書き出す方法・ソフト(Free・英語可)をご存知の方がいらっしゃいましたら 教えてください。宜しくお願い致します。 ※OS:WindowsXPの環境です。 追記: 『Ethereal』というソフトを用いて、pcapファイルを 読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- kaito834
- ベストアンサー率100% (4/4)
Ethereal と共にインストールされる tethereal を利用すると、 pcap 形式のデータをテキスト出力することができます。 tethereal http://www.ethereal.com/docs/man-pages/tethereal.1.html ※Ethereal インストールディレクトリの tethereal.exe です 下記のように -r オプションで pcap 形式データを指定し、 -n -T text -V といったオプションをつけて実行すると、 各パケットの詳細情報をテキスト出力できます。 ※ファイルにリダイレクトし、テキストエディタで閲覧するとよいです $>tethereal.exe -r <pcap-file> -n -T text -V 他にも Chaosreader といった Perl スクリプトを利用して、 HTML で出力するのもよいかもしれません。OS が Windows との ことですので、実行するためには ActivePerl をインストール する必要があります。 Chaosreader http://chaosreader.sourceforge.net/ 必要とするデータ部位の二次利用を想定していた場合は、 WinPcap 等を利用して独自のプログラムなり、スクリプトを 作成するのも一つの手です。 >『Ethereal』というソフトを用いて、pcapファイルを >読み込むことを試したのですが、途中でエラーが発生して読み込むことができませんでした。 pcap 形式のデータサイズが大きいとフリーズしてしまうことが あります。その場合、pcap ファイルを適当なサイズに分割すると 読み込めるかもしれません。Ethereal 付属の editcap を利用すれば パケット数毎にファイルを分割できます。詳細は下記のマニュアルを ご参照ください。 editcap http://www.ethereal.com/docs/man-pages/editcap.1.html
お礼
ご丁寧にありがとうございます。 >Ethereal と共にインストールされる tethereal を利用すると、 >pcap 形式のデータをテキスト出力することができます この方法は把握していたのですが、ファイルを読み込む段階で 断念していため、実行まで至りませんでした。 実行までの細かい手解きは大変参考になります。 お気遣いの通り、データ部位の2次利用を考えていたため 上記ソフト等を参考にさせて頂き、検討していきたいと思います。 >pcap 形式のデータサイズが大きいとフリーズしてしまうことが >あります。その場合、pcap ファイルを適当なサイズに分割すると >読み込めるかもしれません。Ethereal 付属の editcap を利用すれば >パケット数毎にファイルを分割できます。詳細は下記のマニュアルを >ご参照ください。 データサイズが大きすぎるというのは発想の外でした。ご指摘の通り 対象のファイルサイズがおよそ300Mあり、フリーズが生じていました。 pcapファイルが破損、もしくはファイル内データが対応してない等の 懸念があったのですが、早速editcapを用いて試してみます。 言葉のお礼だけでは足りないものを感じますが 細やかなご回答ありがとうございました。